Přímé anonymní potvrzení - Direct Anonymous Attestation
Přímé anonymní potvrzení (DAA) je kryptografický primitiv který umožňuje vzdálené ověřování a důvěryhodný počítač při zachování soukromí uživatele platformy. Protokol byl přijat Trusted Computing Group (TCG) v nejnovější verzi Důvěryhodný modul platformy (TPM) specifikace[1] řešení problémů s ochranou osobních údajů (viz také Ztráta anonymity internetu ). ISO / IEC 20008 specifikuje také DAA a Intel Enhanced Privacy ID (EPID) 2.0 implementace pro mikroprocesory je k dispozici pro licencování RAND-Z spolu s open source SDK.
Historická perspektiva
V zásadě lze problém s ochranou soukromí vyřešit pomocí jakéhokoli standardního podpisového schématu (nebo šifrování veřejného klíče ) a jeden pár klíčů. Výrobci by vložili soukromý klíč do každého vyrobeného TPM a veřejný klíč by byl zveřejněn jako certifikát. Podpisy vytvořené TPM musí pocházet z privátního klíče, vzhledem k povaze technologie, a protože všechny TPM používají stejný soukromý klíč, jsou nerozeznatelné a zajišťují soukromí uživatele. Toto poněkud naivní řešení se opírá o předpoklad, že existuje a globální tajemství. Stačí se podívat na precedens Systém kódování obsahu (CSS), šifrovací systém pro DVD, abychom viděli, že tento předpoklad je zásadně chybný. Navíc tento přístup nedokáže realizovat sekundární cíl: schopnost detekovat nepoctivé TPM. Nečestný TPM je TPM, který byl kompromitován a jeho tajemství byla extrahována.
Řešení poprvé přijaté TCG (specifikace TPM v1.1) vyžadovalo důvěryhodnou třetí stranu, jmenovitě a certifikační autorita pro ochranu soukromí (CA pro ochranu osobních údajů). Každý TPM má vložený RSA dvojice klíčů nazývaná Endorsement Key (EK), o které se předpokládá, že ji CA CA zná. Aby bylo možné ověřit, generuje TPM druhý pár klíčů RSA, který se nazývá Attestation Identity Key (AIK). Odešle veřejný AIK podepsaný EK soukromému CA, který zkontroluje jeho platnost a vydá certifikát pro AIK. (Aby to fungovalo, buď a) soukromá CA musí znát veřejné EK TPM a priorinebo b) výrobce čipu TPM musí poskytnout osvědčení o schválení.) Hostitel / TPM je nyní schopen se autentizovat s ohledem na certifikát. Tento přístup umožňuje dvě možnosti detekce nepoctivých TPM: zaprvé by CA pro ochranu soukromí měla udržovat seznam TPM identifikovaných jejich EK, o nichž je známo, že jsou nepoctivé, a odmítnout od nich požadavky, za druhé, pokud CA pro ochranu soukromí obdrží příliš mnoho požadavků od konkrétního TPM, může odmítnout a blokujte seznam TPM EK. Počet povolených požadavků by měl podléhat cvičení řízení rizik. Toto řešení je problematické, protože CA pro ochranu osobních údajů se musí účastnit každé transakce, a proto musí poskytovat vysokou dostupnost a zároveň zůstat v bezpečí. Kromě toho mohou být porušeny požadavky na ochranu osobních údajů, pokud dojde k dohodě mezi CA a ověřovatelem ochrany osobních údajů. Ačkoli druhý problém lze pravděpodobně vyřešit pomocí slepých podpisů, první zůstává.
Řešení EPID 2.0 vloží soukromý klíč do mikroprocesoru, když je vyroben, neodmyslitelně distribuuje klíč s dodávkou fyzického zařízení a má klíč a je připraven k použití s prvním zapnutím.
Přehled
Protokol DAA je založen na třech entitách a dvou různých krocích. Subjekty jsou člen DAA (platforma TPM nebo mikroprocesor s povoleným EPID), vydavatel DAA a ověřovatel DAA. Emitentovi je účtováno ověření platformy TPM během kroku Připojit se a vystavení pověření DAA platformě. Platforma (člen) používá pověření DAA s ověřovatelem během kroku přihlášení. Prostřednictvím a důkaz nulových znalostí ověřovatel může ověřit pověření, aniž by se pokusil narušit soukromí platformy. Protokol také podporuje funkci blokování, takže ověřovatelé mohou identifikovat atesty z TPM, které byly kompromitovány.
Vlastnosti ochrany osobních údajů
Protokol umožňuje různé stupně ochrany soukromí. Interakce jsou vždy anonymní, ale Člen / Ověřovatel může vyjednat, zda je Ověřovatel schopen propojit transakce. To by umožnilo profilování uživatelů a / nebo odmítnutí požadavků pocházejících z hostitele, který učinil příliš mnoho požadavků. Člen a ověřovatel se také mohou rozhodnout odhalit další informace k provedení neanonymních interakcí (stejně jako si můžete vybrat, zda chcete cizímu uživateli sdělit své celé jméno, či nikoli). Známou identitu lze tedy postavit na začátku anonymního začátku. (Porovnejte to s: pokud začnete se známou identitou, nikdy nemůžete dokázat, že tuto identitu neznáte, abyste se vrátili k anonymitě.)
Implementace a útoky
První schéma přímé anonymní atestace je způsobeno Brickellem, Camenischem a Chenem;[2] toto schéma je nezabezpečené a vyžaduje opravu.[3]Brickell, Chen a Li zlepšují účinnost prvního schématu pomocí symetrických párování namísto RSA.[4] A Chen, Morrissey a Smart se pokoušejí dále zlepšit účinnost přechodem ze symetrického na asymetrické nastavení;[5][6] asymetrické schéma je bohužel nejisté.[7] Chen, Page a Smart navrhli nový kryptografie eliptické křivky schéma využívající Barreto-Naehrigovy křivky.[8] Toto schéma je implementováno jak EPID 2.0, tak standardem TPM 2.0 a standard TPM 2.0 doporučuje, aby toto schéma bylo implementováno TPM obecně[9] a je vyžadováno pro TPM, které odpovídají profilu klienta PC.[10]Kromě toho implementace Intel EPID 2.0 ISO / IEC 20008 DAA a dostupná open source SDK [11] lze použít pro členy a ověřovatele k atestaci. Vzhledem k tomu, že jedna z metod certifikace DAA v TPM 2.0 je identická s EPID 2.0, probíhají práce na zajištění konzistentního čtení certifikátů ISO / IEC 20008 DAA a TPM 2.0 DAA na úrovni specifikací.[Citace je zapotřebí ]
Viz také
- Kryptografický protokol
- Digitální pověření
- Důvěryhodný modul platformy
- Vylepšené ID soukromí
- Technologie zvyšující soukromí
Reference
- ^ Specifikace TPM
- ^ Brickell; Camenisch; Chen (2004). „Přímé anonymní potvrzení“ (PDF). Konference ACM o bezpečnosti počítačů a komunikací: 132–145.
- ^ Smyth; Ryan; Chen (2015). „Formální analýza ochrany osobních údajů ve schématech přímé anonymní atestace“ (PDF). Věda o počítačovém programování. 111 (2).
- ^ Brickell; Chen; Li (2009). „Zjednodušené bezpečnostní koncepce přímého anonymního osvědčení a konkrétní schéma párování“ (PDF). International Journal of Information Security. 8 (5): 315–330. doi:10.1007 / s10207-009-0076-3.
- ^ Chen; Morrissey; Inteligentní (2008). "O důkazech zabezpečení pro schémata DAA". 3. mezinárodní konference o důvěře a důvěryhodných počítačích. 5324: 156–175.
- ^ Chen; Morrissey; Inteligentní (2008). "Spárování v důvěryhodných počítačích". 2. mezinárodní konference o párování založené na kryptografii. 5209: 1–17.
- ^ Chen; Li (2010). "Poznámka k schématu DAA Chen-Morrissey-Smart". Dopisy o zpracování informací. 110 (12–13): 485–488. doi:10.1016 / j.ipl.2010.04.017.
- ^ Chen; Strana; Inteligentní (2010). „O návrhu a implementaci efektivního schématu DAA“ (PDF). 9. mezinárodní konference o výzkumu čipových karet a pokročilých aplikacích. 6035: 223–237.
- ^ https://www.trustedcomputinggroup.org/wp-content/uploads/TPM-Rev-2.0-Part-1-Architecture-01.16.pdf
- ^ https://www.trustedcomputinggroup.org/wp-content/uploads/PC-Client-Specific-Platform-TPM-Profile-for-TPM-2-0-v43-150126.pdf
- ^ Sada EPID SDK
externí odkazy
- E. Brickell, J. Camenisch a L. Chen: Přímé anonymní potvrzení. Ve sborníku z 11. konference ACM o bezpečnosti počítačů a komunikací, ACM Press, 2004. (PDF )
- E. Brickell, J. Camenisch a L. Chen: Přímé anonymní potvrzení . ([1] )
- Ověřování a ochrana osobních údajů mezi doménami autor: Andreas Pashalidis - část 6